Aus Sicherheitssicht ist die interessanteste Ergänzung des iPhone 5s von Apple der integrierte Fingerabdruck Touch-ID-Scanner, der es Ihnen ermöglicht, das Telefon mit der Berührung eines Fingers zu entsperren Passcode. Sie können auch mit einem Fingerabdruck-Scan bei iTunes einkaufen, anstatt Ihr Apple-ID-Passwort eingeben zu müssen.
Aber trotz der geglaubten Einzigartigkeit von Fingerabdrücken ist die Verwendung eines Fingerabdruck-Scans als Authentifizierungsnachweis kein Allheilmittel für Sicherheitsprobleme. Es lohnt sich, sich ein wenig Zeit zu nehmen, um die Technologie zu verstehen, was sie kann und wie sie sich in Ihr digitales Leben integrieren lässt.
Wie funktioniert ein Fingerabdruckleser?
Fingerabdruckerkennungstechnologie gibt es schon seit Jahrzehnten. Es ist eine Form der Authentifizierung, der Begriff, der verwendet wird, um den Prozess des Nachweises zu beschreiben, dass Sie der sind, der Sie vorgeben zu sein. In diesem Fall scannt die Technologie den bereitgestellten Fingerabdruck, vergleicht ihn mit einer Datenbank und erlaubt bei Übereinstimmung den Zugriff wie ein Passwort oder Passcode. Während die Fingerabdruckerkennungstechnologie technisch
identifizieren du sowie authentifizieren Sie benötigen für die meisten Systeme immer noch einen Benutzernamen, um den Abgleich von Fingerabdrücken zu beschleunigen und Fehler zu reduzieren. Da das iPhone jedoch Ihren Apple ID-Benutzernamen speichert, ist dies für die meisten Benutzer kein Problem.Fingerabdruckleser können auf eine Vielzahl von Scantechnologien zurückgreifen. Die beiden, die sich am besten in ein mobiles Gerät integrieren lassen, sind optische Lesegeräte und kapazitive Sensoren. Optische Lesegeräte sind konzeptionell einfach und verwenden im Wesentlichen eine Digitalkamera, um ein Bild Ihrer Fingeroberfläche aufzunehmen.
Kapazitätssensoren sind komplexer und erstellen stattdessen ein Bild Ihres Fingerabdrucks, indem sie die Kapazitätsunterschiede zwischen den Rippen und Tälern Ihres Fingerabdrucks messen. Sie nutzen die elektrische Leitfähigkeit Ihrer subdermalen Hautschicht und die elektrische Isolierung Ihrer Hautschicht (derjenigen, in der sich Ihr Fingerabdruck befindet). Ihr Fingerabdruck ist praktisch eine nicht leitende Schicht zwischen zwei leitenden Platten, was die Definition eines Kondensators ist. Der Fingerabdruckleser erkennt die elektrischen Unterschiede, die durch die unterschiedliche Dicke Ihrer Dermis verursacht werden, und kann Ihren Fingerabdruck aus diesen Messwerten rekonstruieren.
Der Touch-ID-Sensor im iPhone 5s ist ein kapazitiver Leser, der in den Home-Button eingebettet ist. Das war eine gute Wahl von Apple, da kapazitive Scanner genauer und weniger anfällig für verschmierte Finger sind und nicht mit einer Fotokopie eines Fingerabdrucks vorgetäuscht werden können.
Der Leser macht also ein Foto von meinem Finger und schlägt es in einer Datenbank nach?
Nicht ganz. Der Vergleich vollständiger Bilder ist eine komplexe – und rechenintensive – Aufgabe, mit der selbst leistungsstarke Computer zu kämpfen haben. Stattdessen durchläuft das Bild des Lesegeräts einen Algorithmus, der Markierungen aus Ihrem Fingerabdruck zieht und sie in eine digitale Zusammenfassung – eine Vorlage – umwandelt, mit der Sie einfacher arbeiten können. Diese Vorlage stellt Ihren Fingerabdruck dar und variiert je nach verwendetem Algorithmus.
Die Vorlage wird dann in einer Datenbank gespeichert, idealerweise nach dem Durchlaufen einer kryptografischen Hashing-Funktion, genau wie Ihre Passwörter. Passwörter selbst werden nie gespeichert; Stattdessen werden sie durch einen Einweg-Verschlüsselungsalgorithmus konvertiert, wobei das Ergebnis in der Datenbank gespeichert wird. Bei richtiger Ausführung bedeutet dies, dass Ihr Passwort niemals wiederhergestellt werden kann, selbst wenn ein Bösewicht die Datenbank erhält.
Obwohl Details noch nicht bekannt sind, gehen wir davon aus, dass Apple den einzigartigen Gerätecode jedes iPhones als Teil des Hashing-Algorithmus verwendet. Da es in die Hardware des iPhones eingebettet ist, ist es praktisch unmöglich, das Gerät mit leistungsstärkeren Computern anzugreifen. Angriffe auf dem Gerät sind viel langsamer und schwieriger.
Wenn Sie Ihren Fingerabdruck verwenden, um sich bei einem Gerät anzumelden, bildet die Technologie Ihren Fingerabdruck ab und führt das Bild durch seinen Algorithmus. Dann vergleicht es das Ergebnis mit dem in der Datenbank gespeicherten Wert. Stimmen beide überein, werden Sie wie bei einem Passwort eingelassen.
Apple hat darauf hingewiesen, dass Ihr Fingerabdruck niemals auf iCloud oder einen Internetserver hochgeladen wird. Stattdessen wird es verschlüsselt und in der sogenannten Secure Enclave innerhalb des A7-Chips selbst gespeichert.
Ist ein Fingerabdruck sicherer als ein Passwort oder ein Passcode?
Nicht unbedingt. In der Sicherheitswelt gibt es drei Möglichkeiten, um zu beweisen, dass Sie der sind, für den Sie sich ausgeben, mit etwas, das du weißt, etwas hast du, und etwas bist du. Etwas, das Sie kennen, ist ein Passcode oder ein Passwort; etwas, das Sie haben, ist ein Token, ein Schlüssel oder sogar Ihr Telefon; und etwas, das Sie sind, ist eine „biometrische Kennung“ wie Ihr Fingerabdruck.
Die Verwendung einer dieser Kennungen wird als Ein-Faktor-Authentifizierung bezeichnet und gilt als starke Authentifizierung, wenn Sie zwei oder mehr Faktoren kombinieren. Wenn Sie darüber nachdenken (oder genug fernsehen), können Sie sich leicht vorstellen, wie Sie einen Fingerabdruckleser täuschen können, von einer Fotokopie bis zu einem gefälschten Finger aus Gelatine. Jeder Fingerabdruckleser kann getäuscht werden, und dies erfordert nicht unbedingt High-Tech.
Wenn Sie physischen Zugriff auf die Datenbank haben, können Sie außerdem Angriffe darauf ausführen, als ob sie Passwörter enthalten würde, indem Sie gefälschte Vorlagen erstellen und testen. Nicht alle Algorithmen und Hashing-Funktionen sind gleich gut, und es ist leicht, ein System zu erhalten, das schwächer ist als die bekannte Art und Weise, wie wir Passwörter verwalten.
Kurz gesagt, nichts ist perfekt und ein Fingerabdruck allein ist nicht unbedingt sicherer als ein Passwort. Schlimmer noch, Sie können Ihren Fingerabdruck nicht ändern. Aus diesem Grund benötigen supersichere Systeme normalerweise einen Fingerabdruck und entweder ein Passwort oder eine Smartcard.
Zählt mein Telefon nicht als zweiter Faktor?
Irgendwie. Viele von Ihnen verwenden Ihr Telefon möglicherweise als zweiten Faktor, um sich bei Diensten wie Dropbox anzumelden. In diesem Szenario melden Sie sich mit Ihrem Benutzernamen und Passwort bei der Site an, und Dropbox sendet dann einen Einmalcode an Ihr Telefon, den es gespeichert hat. Seit du Kenne dein Passwort und hab dein handy, zählt dies als Zwei-Faktor-Authentifizierung.
Leider ist das Entsperren Ihres Telefons anders, da das Telefon selbst das Ziel ist. Somit ist ein Fingerabdruck allein noch eine Ein-Faktor-Authentifizierung und im engeren Sinne nicht wirklich sicherer.
Es ist jedoch viel weniger wahrscheinlich, dass Sie jemandem Ihren Fingerabdruck leihen, und während ein Bösewicht Ihren Passcode erraten könnte, die Wahrscheinlichkeit, dass jemand in der realen Welt eine Kopie Ihres Fingerabdrucks stiehlt, ist sehr gering, es sei denn, Sie sind ein hohes Risiko. Ziel.
Wenn es nicht sicherer ist, warum zu einem Fingerabdruck wechseln?
Praktisch gesehen ist ein Fingerabdruck für die meisten Verbraucher sicherer als ein Passcode auf Ihrem iPhone. Es ist definitiv sicherer als ein vierstelliger Passcode.
Der wahre Grund ist jedoch, dass die Verwendung von Fingerabdrücken durch verbesserte Benutzerfreundlichkeit zu mehr Sicherheit führt. Die meisten Leute, wenn sie überhaupt einen Passcode verwenden, halten sich an einen einfachen vierstelligen Passcode, der für einen Angreifer durch den physischen Besitz Ihres iPhones leicht zu umgehen ist. Längere Passphrasen, wie die obskure 16-stellige, die ich verwende, sind weitaus sicherer, aber es ist eine echte Qual, sie wiederholt einzugeben. Ein Fingerabdruckleser bietet bei richtiger Implementierung die Sicherheit einer langen Passphrase mit mehr Komfort als selbst ein kurzer Passcode.
Wie Ich habe bei Macworld geschrieben, Apples Ziel ist es, die Sicherheit zu verbessern und sie gleichzeitig so unsichtbar wie möglich zu machen.
Bedeutet dies den Tod von Passcodes auf meinem iPhone?
Gar nicht. Zunächst einmal wird iOS die Passcode-Unterstützung nicht loswerden, da nur das iPhone 5s über einen Fingerabdruckleser verfügen wird.
Zweitens haben Sie, wie Sie in diesem Bild sehen können, immer die Möglichkeit, einen Passcode einzugeben, anstatt einen Fingerabdruck zu scannen.
Drittens, während viele von uns ihre iPhones mit ihren Ehepartnern und Kindern teilen, unterstützt Apple offiziell nur einen einzigen Benutzer pro Gerät. Allerdings Apple hat gesagt Mit dieser Touch ID können Sie Fingerabdrücke für vertrauenswürdige Freunde und Familie einrichten, damit diese problemlos auf Ihr Gerät zugreifen können.
Wenn jemand mein Telefon stiehlt, bedeutet das, dass er meinen Fingerabdruck hat? — Mit ziemlicher Sicherheit nicht. Es gibt keinen Grund, den Fingerabdruck selbst aufzubewahren, nur die Vorlage. Und wie bereits erwähnt, werden Ihre Fingerabdrücke auf dem iPhone 5s verschlüsselt (wir vermuten, dass Apple wirklich "gehasht" bedeutet).
Kann jemand mit einer Kopie meines Fingerabdrucks auf mein Telefon zugreifen? - Wahrscheinlich. Wie bereits erwähnt, benötigt ein Angreifer ein Stück, um sich als Sie auszugeben, es sei denn, Sie kombinieren Ihren Fingerabdruck mit einem anderen Authentifizierungsfaktor, wie einem Passcode.
Realistischerweise muss sich fast niemand darüber Sorgen machen, obwohl ich voll und ganz davon ausgehen werde, dass eine Reihe von Artikeln über die Bemühungen von Amateurspionen geschrieben werden, falsche Finger herzustellen. Ich werde auch vorsichtiger sein, wenn ich an bestimmten Hacker-Konferenzen teilnehme, angesichts meiner Scherzfreunde.
Kann ich mich mit meinem Fingerabdruck statt mit einem Passwort bei meiner Bank anmelden? — Die Verwendung Ihres Fingerabdrucks zur Anmeldung bei Websites und Apps, wie denen Ihrer Bank, kann irgendwann passieren, aber nicht sofort. Apple muss zuerst die API-Unterstützung dafür öffnen, dann müssen Entwickler es sowohl in ihre Apps als auch in die Back-End-Authentifizierungsdatenbanken integrieren. Apple sagte, dass andere Apps den Fingerabdruckleser verwenden können, aber dass Ihr gespeicherter Fingerabdruck für diese Apps nicht verfügbar ist. Daher vermuten wir, dass der anfängliche Support Touch ID verwenden wird, um auf ein im iOS-Schlüsselbund gespeichertes Passwort zuzugreifen, wobei eine Art API-Unterstützung verwendet wird.
App-Hersteller und Cloud-Dienste, die direkten Fingerabdruck-Zugriff wünschen, wenn Apple dies überhaupt unterstützt, müssen ihre Systeme ebenfalls umgestalten, um damit umzugehen Szenarien wie die Kompromittierung des Fingerabdrucks einer Person oder die Anmeldung eines Benutzers von einem Windows-basierten Computer mit einem anderen Fingerabdruck Scanner. Sie können nicht einfach alle auf Apple-only Fingerabdruckvorlagen umstellen. (Und so sehr es auch nach einer guten Idee klingen mag, einen offenen Standard zum Generieren der Vorlagen zu haben – es gibt sogar eine Branchenorganisation namens FIDO-Allianz um eine solche Interoperabilität zu fördern – wer weiß, ob Apple sie irgendwann unterstützen würde.)
Aber auch hier vermute ich stark, dass Apple sich zumindest für eine Weile hauptsächlich darauf verlassen wird, die Anmeldeinformationen auf dem Telefon mithilfe des ehrwürdiger Schlüsselbund, vielleicht durch Hinzufügen einer Funktion oder API-Unterstützung, die den Fingerabdruck für diesen registrierten Benutzer bestätigt authentifiziert.
Außerdem sind Banken gesetzlich verpflichtet, zwei Arten der Authentifizierung zu verwenden. Aus diesem Grund müssen Sie wahrscheinlich eine PIN eingeben, wenn Sie sich von einem anderen Gerät aus anmelden, oder Sie müssen den E-Mail-Bestätigungstanz ausführen, wenn Sie sich von einem neuen Computer aus anmelden. Technisch gesehen könnte Ihr Telefon jedoch als zweiter Faktor gelten, und Banken könnten ihre Systeme aktualisieren, um die Tatsache, dass Sie Ihr Telefon mit Ihrem Fingerabdruck für den Zugriff haben, zu kombinieren.
Kann ich mich mit meinem Fingerabdruck in mein Arbeitsnetzwerk einloggen?
Nicht sofort. Obwohl Apple in iOS 7 Single Sign-On (SSO)-Unterstützung auf Unternehmensebene hinzufügt, müssen Sie sich für Ihr geschäftliches Netzwerk und Ihre Anwendungen weiterhin mit Ihrem vorhandenen Benutzernamen und Kennwort authentifizieren. SSO bedeutet lediglich, dass Sie diese Anmeldeinformationen nicht für jedes Arbeitssystem erneut eingeben müssen. Im Laufe der Zeit erwarte ich, dass Anbieter Tools anbieten, die Ihnen den Zugang zu Ihrem Arbeitsnetzwerk ermöglichen, nachdem Sie sich mit Ihrem Fingerabdruck auf Ihrem iPhone authentifiziert haben, vorausgesetzt, Ihre IT-Abteilung genehmigt dies.
Warum ist das so wichtig?
Apple ist nicht das erste Unternehmen, das einem Telefon einen Fingerabdruckleser hinzufügt. Ich habe Laptops mit Fingerabdrucklesern getestet und Telefone mit eingebetteten Lesern gesehen. Die wahre Aufregung ist, dass Apple diese Technologie vielen Millionen Verbrauchern zugänglich machen wird.
Dies wird die Sicherheit und Benutzerfreundlichkeit des iPhone 5s für durchschnittliche Benutzer dramatisch verbessern. Ich hasse es, auf einer kleinen Tastatur eine starke Passphrase eingeben zu müssen, besonders wenn ich herumlaufe. Ein Fingerabdruckleser wird viel bequemer sein und im Wesentlichen die weniger sicheren vierstelligen Passcodes eliminieren, die die meisten Leute verwenden, wenn sie überhaupt einen verwenden.
Kombinieren Sie dies mit der Tatsache, dass viele Benutzer ihr Telefon jetzt als zweiten Faktor verwenden, um sich bei einer Vielzahl von Cloud-Diensten anzumelden, und Sie können sehen, dass eine Verbesserung der Sicherheit des iPhone 5s im Allgemeinen die Sicherheit wesentlicher Aspekte des Internet. Das wird nicht über Nacht passieren, aber die Verbesserung der Sicherheit an jedem Zugangspunkt verbessert die Sicherheit für das gesamte System.
Sobald wir sehen, dass eine nutzbare Fingerabdruck-Authentifizierung für Verbraucher weit verbreitet ist, wird das Leben für den durchschnittlichen Angreifer viel schwieriger.
Autor Rich Mogull arbeitet seit ungefähr 17 Jahren in der Sicherheitswelt und macht Computer (meist aus Versehen) noch länger kaputt. Nach etwa 10 Jahren in der physischen Sicherheit (meist große Veranstaltungen/Konzerte) hat er den Fehler gemacht, sich im Silicon Valley zu betrinken und jemandem zu erzählen, dass er „im Sicherheitsdienst gearbeitet“ hat. Artikel mit Genehmigung abgedruckt aus Leckerbissen.
![Finden Sie diese versteckten Einkäufe im Mac App Store [OS X-Tipps]](/f/61572aeb9a7fbf436908ae9a51c08043.jpg?width=81&height=81)